На нашем сайте появилась возможность
авторизации через известные социальные сети
  • Главная
  • Блокируют все, что могут (но могут не все). Краткое объяснение проблем с доступом к VPN‑сервисам в Р

Блокируют все, что могут (но могут не все). Краткое объяснение проблем с доступом к VPN‑сервисам в Р

VPN — Virtual Private Network или «виртуальная частная сеть» — общее название технологий, с помощью которых компьютеры можно объединить через интернет в «частную» сеть, как будто они соединены напрямую, даже если они находятся далеко друг от друга. В такую сеть можно объединить любые устройства или даже целые локальные сети — например, так можно создать единое пространство для офисов или филиалов одной компании. Само VPN-соединение шифруется, поэтому стороннему наблюдателю — например, провайдеру — виден только зашифрованный трафик. Благодаря этому VPN стали использовать для обхода блокировок: если установить прямое соединение с точкой выхода в интернет, находящейся в другой стране, провайдер не будет знать, на какие сайты заходит пользователь, а следовательно, не сможет заблокировать доступ.

DPI — Deep Packet Inspection или «глубокое исследование пакетов» — поскольку информация передается по интернету в виде коротких блоков данных, называемых пакетами, существуют методы анализа их содержимого, даже если оно надежным образом зашифровано. Прочитать содержимое пакетов наблюдатель не может, но может понять, к примеру, с каким сайтом контактирует пользователь и по какому протоколу обмена данными. Часто DPI называют и само устройство, установленное у интернет-провайдера, которое изучает трафик пользователей, чтобы распределять нагрузку в сети или блокировать запрещенную информацию. 

ТСПУ — «Технические средства противодействия угрозам» — устройства, которые Роскомнадзор устанавливает у интернет-провайдеров в рамках закона о «суверенном интернете», чтобы иметь возможность контролировать трафик пользователей: изучать с помощью DPI, замедлять и даже полностью блокировать.

— Что сейчас происходит: блокировка отдельного хоста, отдельного сервиса — или нечто более масштабное?

Сейчас происходят блокировки по IP-адресам и по доменам некоторых VPN-cервисов — и происходит тестирование блокировок более хитрыми методами, но это происходит на ТСПУ отдельных регионов. А собственно блокировка по IP-адресам и по доменам происходит на всех ТСПУ.

Блокируются вспомогательные домены — например, у ProtonVPN блокируются домен, который раздает клиентам IP-адреса серверов. Это то, что мы сейчас наблюдаем. Информации о блокировке частных непубличных серверов нет, блокируются только публичные сервера — и происходит тестирование блокирования по протоколам. Блокировка частных непубличных серверов может и быть по протоколам, но это тесты на отдельных ТСПУ, и мы не знаем результаты этих тестов. То есть вполне возможно, что мы увидим блокировки по протоколам уже в ближайшие дни, но вполне возможно, что мы их не увидим никогда или не увидим в ближайшие месяцы.

Все зависит от результата тестов: если в результате тестов полегла какая-то инфраструктура, сопутствующие государственные сети связи, какие-то банковские каналы, то в этом случае они будут пытаться по-другому блокировать VPN-протоколы. Если у них получилось блокировать только определенные протоколы, не затрагивая какую-то важную инфраструктуру, мы эти блокировки можем увидеть достаточно скоро.

— Как именно блокируют VPN-сервисы? ТСПУ во всех регионах получили список хостов на блокировку и отработали?

Да, именно так. ТСПУ управляются Роскомнадзором из единого центра управления, и они на всех ТСПУ по России блокируют IP-адреса и узлы известных VPN-провайдеров.

Статья«Интернет в России будет все хуже, хуже и хуже». Чем война Роскомнадзора с VPN грозит россиянам

— Легко ли обойти такую блокировку на стороне разработчика — и будут ли обходить?

Блокировка IP-адреса сервера значит, что просто нужно менять IP-адреса на незаблокированные. Обычно вычисляются клиенты, которые стоят у цензора, и им передаются неправильные адреса: разным клиентам раздают разный набор IP-адресов, ты смотришь, какие заблокированы, и таким образом можешь определить клиент, который, соответственно, «сливает» IP-адреса на блокировку.

Второй момент. VPN-протоколы бывают разные, бывают хитрые с обфусцированием, с маскировкой трафика. Такие протоколы сложно достаточно заблокировать. Будут ли обходить сервисы такие блокировки? Те сервисы, с которыми мы общаемся, например, тот же Proton — у них желание обходить блокировки есть, потому что, во-первых, это бизнес, и Россия, в принципе, достаточно большой рынок, несколько десятков миллионов пользователей, как следствие, наверное несколько сотен миллионов долларов в год. Я думаю, что крупным сервисам вполне целесообразно прибегать к разблокировке своих сервисов в России. Пройдет какое то время — дни, может быть, неделя, — и все сервисы снова потихонечку начнут работать. Не все, но большинство. Посмотрим, будет ли это так.

На китайских примерах обычно это так происходит. Китай — рынок большой, важный. И когда китайцы применяют новые фильтры для фильтрации VPN, обычно большинство сервисов ложится, остаются работать буквально три-четыре штучки, но потом в течение недели-месяца количество работающих VPN увеличивается. То есть сервисы учатся на том, как цензоры их блокируют, и предлагают такие протоколы, такие решения, которые не подвергаются блокировке. Поэтому я думаю, что скоро это все дело наладится.

— Почему блокировка идет не по протоколам с помощью DPI, а блокируется отдельный хост?

Видимо потому что пока не особо умеют. Потому что достаточно сложно резать трафик аккуратно, чтобы это не задевало какие-то корпоративные VPN, например, на которых работают банкоматы или платежные терминалы в магазинах. Они тоже находится внутри сетей, которые работают по одним и тем же протоколам. И надо научиться блокировать какие-то одни протоколы, не блокировать какие-то другие протоколы или составлять белые списки IP-адресов и протоколов, которые мы не блокируем. Это не очень легкая работа — она осуществима в целом, потому что мы видим, что в том же Китае или в Туркмении — скорее, в Китае — происходят именно такие блокировки по протоколам, но видимо пока наши не готовы это сделать. Но они учатся, это видно по тестам.

СтатьяРоссия запрещает запрещать запрещать. Что значат новые поправки в законодательство об интернете

— Можно ли обходить блокировку по протоколам?

Да, можно. Есть некоторые протоколы, которые разрабатываются энтузиастами, в основном китайскими, специально для репрессивных режимов. И в рамках этих протоколов просто трафик маскируется под какой-то валидный трафик, например, под видеоконференции. Есть много протоколов, которые написаны таким образом, что они притворяются WebRTC-трафиком, который используется для видеоконференций типа Zoom. Не зная IP-адресов серверов, блокировать [его нельзя], есть риск того, что заблокируются все видеоконференции или видеоконференции каких-то конкретных приложений. Ну и дальше власти решают, блокируем эти конкретные приложения или не блокируем.

Или же VPN-трафик маскируется под валидный https-трафик, под веб-серфинг, но с подменой внутри домена, как будто пакет идет в Google, а на самом деле он идет туда, куда надо. Не то, чтобы какой-то хитрый неуловимый протокол, просто он написан таким образом, что он внешне выглядит как протокол для чего-то другого, но внутри находится VPN-трафик, если простыми словами это объяснить.

Источник: Медиазона

17:12
394
cindy
13:39
Есть один общеизвестный факт: впн не всегда помогает обойти блокировки, а еще их тоже начали блокировать, и если приложение заблокировали то и нечего туда соваться в принципе, используя впн. Лучшим решением будет поискать альтернативы и желательно не отечественного производства. Как замену мессенджерам, могу посоветовать Utopia p2p u.is/ru В нем также есть своя почта, браузер и прочее. Главный бонус, что это приложение невозможно заблокировать, а все пользователи анонимны.
Загрузка...